クラウド事故を招く「危険」の数々 ユーザーだけでは対策できない穴も……:クラウドに潜む10大脆弱性【後編】
クラウドサービスは、サイバー攻撃を受けたり停電や洪水などの要因で停止したりする可能性がある。数々の危険に対して、ユーザーが取り得る対策とは。
クラウドサービスだからといって、セキュリティ対策の全てをベンダーに任せられるわけではない。ユーザーは脅威に対抗するために、アプリケーションやインフラのリソースを適切に管理する必要がある。本稿は、「セキュリティ体制における見落とし、ギャップ、弱点などの欠陥」という意味での脆弱(ぜいじゃく)性を取り上げる。クラウドサービスのリスクにつながる脆弱性の10項目のうち、6〜10個目を紹介する。
6.機能停止
併せて読みたいお薦め記事
連載:クラウドに潜む10大脆弱性
未知の脅威やリスクに対処する
クラウドサービスであっても、ハードウェアの破損、サービスプロバイダーに起因するトラブル、構成の見落としなどが原因で障害は発生する。
クラウドサービスは、クラウドサービスを使用不能に陥らせることを目的とする分散型サービス拒否(DDoS)攻撃をはじめとするサイバー攻撃を受けることがある。攻撃によってクラウドサービス内のリソースが破損したり、機能が停止したりすると、その影響はインフラのリソースやサービスを使用する全てのユーザーに及ぶ可能性がある。
企業が保有する特定のアプリケーションが攻撃を受けた際には、クラウドサービスベンダーのサポートチームから支援を受けられる場合がある。ユーザーの立場では、クラウドサービスの機能停止や攻撃の阻止はできない。だが、災害復旧(DR)プランを策定してサービス停止時の被害を抑えることはできる。
「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスには、DRのための仕組みがある。ただしそれは自動的に実装されるものではない。クラウドサービスの機能が停止したときに受ける影響を最小限に抑えられるよう、ユーザーは入念に設計して定期的にテストを実施する必要がある。
7.データ管理の不備
企業が扱うデータは、セキュリティやプライバシーなどの面で複数の法規制の影響を受けることがある。EUの「一般データ保護規則」(GDPR)はその一例だ。データ管理における見落としによって、企業は罰金や刑事処分を受ける事態に陥り兼ねない。
クラウドサービスでも自社データセンターであっても、データ管理に関して企業の責任は変わらないため、クラウドサービスを利用する際には、自社に関連するデータ管理の問題を入念に検討しなければならない。データ管理では次の点が重要なポイントになる。
- クラウドサービスにある機密または重要な業務データは、保管中および移動中も暗号化して盗まれないようにし、アクセスログではデータに影響する全てのアクセスと変更を追跡する
- クラウドサービスに保管しているデータのインベントリを作成し、全てのデータを分類および考慮して、データの種類ごとに適切に管理する
- データの作成からアーカイブだけでなくデータの破棄に至るまで、成熟したライフサイクル管理手法に従ってデータを管理する
- ライフサイクルの最後にデータを破棄する際は、データを削除するだけでは適切にデータを破棄したとは言えないため、安全にデータを破棄できるツールを検討する
8.プロセスや標準の欠如
同じような目的の行動であっても、従業員や部門によって驚くほどプロセスが異なっている場合がある。このような状況は、不適切な設定、不十分なアクセス制御、法規制違反など企業に利益を上回る害をもたらす問題を引き起こす可能性がある。
業務部門とIT部門のリーダーはクラウドサービスを導入する前に、クラウドサービス利用に関するガイドラインを統一する必要がある。同じような作業は同じような方法で実施できるように標準化をすることも欠かせない。これらの準備を進めることで、ビジネスの成果物を予測可能かつより高い成功率で迅速に創出できるようになる。
ベストプラクティスとプロセスの標準化は、コラボレーションとリーダーシップを要する手ごわい問題だ。時間はかかるが、根気よく取り組めば結果は出る。
そうした作業に必要な関係者は、以下の通りだ。
- クラウドサービスに関して専門知識のあるテクノロジーリーダー
- 法規制とビジネスの統制に関してしっかりとしたスキルのあるビジネスリーダー
- クラウドサービスの費用見積もりに関する知識のある財務専門家
- アイデアを共有してビジネスニーズに応える協力を惜しまないアプリケーションの利害関係者
9.監視の欠如
監視ツールは、脆弱性を防ぎ、望ましくない使用パターンを特定するのに役立つ。クラウド監視ツールは以下のようなことが可能だ。
- データのインベントリを作成し、全てのデータ資産を分類してライフサイクルを通じたデータ保護を実現する
- クラウドサービスの使用状況を確認してクラウドのスプロール現象と呼ばれる不要なリソースやサービスを点検する
- 構成を保護して未承認の構成変更を防止する
- アプリケーションのパフォーマンスとユーザーエクスペリエンス(UX)を測定する
- アクセスとアクティビティーを記録して適切なセキュリティ対策を維持する
さまざまな監視ツールが流通しているため、企業が特殊な要件を求めても適合するツールが見つかるだろう。以下に代表的な監視ツールを紹介する。
- AppDynamicsの「AppDynamics」
- BMC Softwareの「TrueSight Operations Management」
- Datadogの「Datadog」
- Broadcomの「DX Unified Infrastructure Management」
- Dynatraceの「Dynatrace」
- Grafana Labsの「Grafana」
- LogicMonitorの「LogicMonitor」
- Nagios Enterprisesの「Nagios」
- Netdataの「Netdata」
- New Relicの「New Relic」
- PagerDutyの「PagerDuty」
- Sematext Groupの「Sematext Cloud」
- Microsoftの「SharePoint」
- SolarWindsの「SolarWinds Observability」
- Sumo Logicの「Sumo Logic」
- Zabbixの「Zabbix」
- Zoho Corporationの「ManageEngine」
クラウドサービスベンダーも、自社インフラに合わせてカスタマイズした多種多様な監視ツールと管理ツールを提供している。以下はその一例だ。
- Amazon Web Services(AWS)の「Amazon CloudWatch」
- Microsoftの「Azure Monitor」
- Googleの「Cloud Monitoring」
10.不完全なエコシステム
脆弱性に関する議論はクラウドサービスベンダーとユーザーに注目する傾向にあるが、より広範なエコシステム(複数の企業による共存共栄の仕組み)が果たす役割も見過ごすことはできない。クラウドサービスベンダーとユーザーを含め、全ての企業が日常業務を遂行する上で、他のサービスプロバイダーやベンダーなどの存在は欠かせないものになっている。しかし、ITに関するエコシステムは以下のような問題を抱えている。
- ハードウェアのベンダーはセキュリティを確保した安定した機器を提供しなければならないが、BIOS(ハードウェアを制御するプログラム)やプロセッサの機能に関連する欠陥が脆弱性の引き金になる可能性がある
- ソフトウェア開発者は欠陥がないソースコードを記述してテストを実施しなければならないが、開発者が実施できるテストは事前に想定可能なものに限られるため、本番運用で明るみに出る欠陥は珍しくない
- ソフトウェアの開発やセキュリティを確保するためにオープンソースソフトウェア(OSS)を使用できるが、OSSにはセキュリティやパフォーマンスに関する問題を引き起こす恐れのあるさまざまな脆弱性が潜んでいる可能性がある
- クラウドサービスに接続するためのインターネットを提供する事業者の、独自のインフラやセキュリティ対策に問題が潜んでいることがある
- 脅威の変化に応じてセキュリティツールが進化を遂げなければ、新たな脅威が野放しになる恐れがある
ITのエコシステムに付随する問題の多くは、クラウドサービスベンダーとユーザーだけでは解決できない。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.